朱琳1 黄晓晖1 黄良虎2
1.中国网络安全审查技术认证中心 北京 100020
2.众欣(广州)技术咨询服务有限公司 北京 100020
摘要: 2019年5月25,GDPR实施一周年,这一具有里程碑意义的隐私和网络安全监管法规已经在全球范围内产生了深远影响。GDPR涉及与互联网相关的社交、电商、云计算等新兴领域,对中国公司的国际化带来严峻考验。本文主要围绕GDPR实施一周年来,法规对欧盟及我国企业的影响进行研究分析。通过研究GDPR处罚案例及围绕GDPR认证的情况,结合我国《网络安全法》、《个人信息安全规范》等法规,提出通过数据安全相关认证的方式,帮助我国中小企业应对GDPR的合规要求。
关键词:数据安全,GDPR,个人信息,认证
Research on the First Year Implementation of GDPR and China's SMEs' Compliance Response
Abstract: On May 25 2019, the first anniversary of the implementation of the GDPR, a landmark privacy and cybersecurity regulation which has had a profound impact on a global scale. GDPR involves Internet-related social networking, e-commerce, cloud computing and other emerging fields, which will bring severe challenges to the internationalization of Chinese companies. This article mainly focuses on the research and analysis of the impact of GDPR on the EU and Chinese companies in the first year of its implementation. Through the study of GDPR punishment cases and the situation of GDPR certification, combined with an analysis of China's "Cyber Security Law" and "Personal Information Security Regulations", etc., it proposes that China's small and medium-sized enterprises should respond to GDPR compliance requirements by getting data security related certifications.
Keywords: Data security, GDPR, personal information, certification
1引言
《通用数据保护条例》(General Data Protection Regulation,简称GDPR)由欧盟起草,于2018年5月25日正式生效实施。它堪称“史上最严”数据隐私法,为个人数据安全与隐私权设立严格的保护标准,提升个人数据保护的层级与范围。GDPR适用于全球机构和组织,无论企业主体是否在欧盟境内,只要其产品或服务在欧盟区销售,并且关系到保存与处理欧盟公民个人数据都必须遵守,否则,将面临高达2000万美元或4%年营业额的罚款。
根据GDPR的全球适用性,我国的信息服务、IoT产品制造和出口企业将面临重大影响。为帮助相关企业应对GDPR,本文将围绕GDPR实施一周年对欧盟、对他国、对我国企业的影响进行分析,梳理GDPR的实施情况和违规处罚案例。结合《网络安全法》和《个人信息安全规范》等相关法律法规,提出通过我国数据安全相关认证,帮助中小企业应对GDPR的合规要求。
2 GDPR实施周年情况
2.1 对欧盟成员国的影响
欧盟数据保护委员会(EDPB)对GDPR的执行和实施情况做了阶段性的总结与回顾:实施满一年,欧盟共收到包括投诉、数据泄露通知以及其他类型的案件206326件,11个欧盟国家的数据保护监管机构共作出55955871欧元罚款。与传统法令的执行实施机制不同,GDPR重视监管机构间的合作与一致性机制,并通过相互帮助、联合行动、一站式咨询服务等机制工具和内部市场信息系统(IMI)等信息技术手段保障GDPR在更广的范围达成效果。
对于公众,尤其欧盟成员共公民,GDPR的实施意义是唤起了人们对于隐私权、数据保护的关注。
同时GDPR实施一年也备受争议。过去一年中,企业在合规方面的支出增加。其中欧盟企业合规总支出达到2000亿美元,美国企业花费近42亿美元,统计数据未包含亚洲地区企业的合规支出数据。
欧盟数据保护委员会评估后认为,GDPR所带来的预算和人力成本有所增加,同时在一致性机制方面可能造成不必要的资源浪费,需要进一步优化体制机制设计,畅通监管机构间的合作与协同,促进GDPR更有效地执行和落地。
2.2 对他国的影响
GDPR的长臂管辖权使其得以在欧盟境外保持着强大威慑。德勤在GDPR实施半年后的调查证实了这一点。在欧盟地域内,70%的被调查组织增设了从事GDPR合规岗位,而欧盟境外的被调查组织同样不敢掉以轻心,其比例仅仅落后1到2个百分点。
随着GDPR的实施,欧盟以此为抓手向全球扩张其制度理念,并为世界个人信息保护法竖立新的标准。GDPR促进全球各国各地区立法,包括中国在内的其他国家或地区也在逐步设立或细化能够支撑数据保护相关条例实施的细则。欧盟认为:“在过去一年,从智利到日本,从巴西到韩国,从阿根廷到肯尼亚都出现了类似于GDPR的新型隐私保护法。这些法律均规范了可强制执行的个人权利并建立了独立的监督机构。这种趋势为促进基于信任和安全的数据流动提供了新的机会”。GDPR带来了全球隐私保护立法的热潮,并成功提升了社会各领域对于数据保护的重视。全球范围的数据保护法规都将变得越来越严格,企业也依旧面临挑战。
GDPR对全球其他各地区立法影响促进包括:
?美国加州:制定《加州消费者保护法案》,将于2020年生效;
?印度:制定本地数据保护法草案,与GDPR性质类似;
?新加坡:成立公共机构数据安全检讨委员会,以加强对公民数据的保护;
?中国:发布《数据安全管理办法(征求意见稿)》、《个人信息安全规范》;《数据安全法(草案)》、《个人信息保护法》制订中。
2.3 对企业的影响
1)企业预算大幅增加
为开展GDPR合规工作,组织须持续投入大量资金。IAPP和EY等行业消息来源也报告称,每个组织平均支出将达到约300万美元,支出主要分布在如下类别中:内部人员-时间(33%)、外部法律顾问(18%)、咨询(15%)、员工培训(12%)以及新技术解决方案的开发(22%)。
2)GDPR合规性花费保持高水平
由于许多隐藏的人力成本,特别是当组织尚未自动化其所有合规流程和数据流时,GDPR的持续支出通常很难规划。根据DataGrail公司本月早些时候发布的一项研究表明,2/3的组织将增设25名甚至更多的员工用于管理GDPR项目,且80%的人在该法规正式生效前每月至少要碰好几次面进行沟通协作。
但是早期的大部分努力可能都是短期的权宜之计。根据调查显示,70%的组织表示他们早期的GDPR合规性解决方案可能并不适用于未来的发展,因为监管机构会加大力度,消费者投诉和数据要求也会加剧。根据调查数据,组织的决策者维持GDPR合规性所花费的时间与准备GDPR的时间相比似乎没有太大变化。
3) 阻碍合规性和隐私工作进展的因素仍然存在
即使组织花费了大量资金为GDPR合规性投入人力和时间,但一年后,阻碍合规性和隐私工作进展的因素仍然存在于大多数组织之中。例如,Talend公司进行的一项调查发现,70%的组织无法履行GDPR隐私政策中规定的向其消费者提供的数据访问级别;此外,Thomson Reuters进行的调查也发现,全球48%的组织未能满足GDPR合规性要求。
与此同时,ImmuniWeb研究人员发布的一项研究还发现,在欧洲前100个访问量最大的网站中,甚至是遵守GDPR最简单的网站隐私和安全要求也难以实现。例如,超过一半的这些网站缺少或难以找到隐私政策,且几乎80%的网站使用了不安全的cookie来处理潜在的敏感数据。
4) 注册数据保护官(DPO)持续增加
组织中数据保护官(DPO)的数量正在随着GDPR项目的推进而不断增长。根据IAPP发布的数据显示,目前在28个欧盟成员国的12个国家中,约有376,306个组织注册了DPO,据此该行业组织推断,整个欧洲的DPO注册总数应该达到了500,000的预估值。
该组织还报告称,过去一年中所有隐私专业人员的人数都呈现了增长趋势。注册成为DPO的通常是首席隐私官,据IAPP报告,这些首席隐私官的平均薪水为220,000美元。然而,并非所有DPO都出自首席隐私官,据统计,这些隐私决策者的平均工资仅为88,000美元。这个薪资金字塔表明,许多初级DPO仍然需要更多的培训和经验来提升他们自身在组织内的地位和话语权,以便更好地发挥自身作用。
2.4 对个人的影响
保护个人的基本权利是GDPR的初心。根据EDPB在2019年2月和5月发布的信息,欧盟各成员国的DPA处理案件20余万件,数据跨境案件446件,并收到至少14.4万次个人投诉和89271次数据泄露通知,开出罚款高达5600万欧元。
有关GDPR隐私保护的意识正在显著增加。欧洲数据保护委员会(EDPB)报告称,在过去四年中,听说过“其国家有公共权力负责保护数据隐私权”的欧盟公民比例增长了20个百分点;有67%的欧盟公民报告称他们至少听说过GDPR。
与此同时,欧洲公民中仍有许多人对GDPR的好处持怀疑态度。TrustArc和Ipsos公司发布的一份调查报告显示,只有不到一半的英国公民行使了GDPR权力,例如选择取消cookie安装或限制公司使用自己的个人数据。自GDPR于一年前生效以来,只有约36%的人表示他们更信任持有他们个人数据的公司。此外,Ogury进行的一项更广泛的调查发现,全球超过280,000名消费者中,55%的人表示,即便GDPR的数据透明度规定已经通过,他们仍然无法更好地理解公司如何使用他们的数据。
2.5 GDPR处罚案例研究
GDPR实施一年,欧洲经济区 (EEA:欧盟28国、冰岛、芬兰和列支敦士登)各国的监管机构(SA)共接获206,326例案件,其中近半数(94,622)是投诉,64,684件涉及数据泄露通知,剩下的则是“其他”问题。监管机构了结超过一半的案子 (52%),31家SA采取行政罚款方式,共判处了55,955,871欧元的行政罚款,其中荷兰、德国和英国排在首位。在新的GDPR制度下已经实施了91起罚款,德国是目前处于罚款数量的主要国家,德国组织收到了迄今为止实施的64项GDPR罚款。根据EDPB公布的数据,11个国家的案例罚款总额约5600万欧元。其中,谷歌一起案例罚款金额为5000万欧元,占了所有罚款总额的近90%。
表一 GDPR违规条款汇总 (来源:www.enforcementtracker.com 截止时间2020年3月)
.png)
表二 GDPR处罚金额前十案例 (来源:www.enforcementtracker.com 截止时间2020年3月)
.png)
3我国GDPR合规状况
3.1 GDPR对我国企业的影响
GDPR涉及与互联网相关的社交、电商、云计算等新兴领域,将对中国公司的国际化带来严峻考验。GDPR改变了互联网公司使用用户个人信息的方式。适用GDPR的中国企业主要有两种情形:第一,在欧盟境内设有机构的中国企业,如果通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理是否发生在欧盟境内,都应适用GDPR;第二,尚未在欧盟境内设有机构的中国企业,如果其向欧盟境内的个人提供商品或服务的过程中(无论是否收费),涉及对个人数据的处理,也应适用于GDPR。作为全球发展最快的经济体之一,中国企业的业务范围已经迅速扩展到包括欧盟成员国在内的全球各地。例如大型跨国企业阿里巴巴、腾讯、华为、美的等。小米、oppo、ofo、大疆等后起之秀也开始将触角伸往欧洲,同样GDPR法规也适用于这些企业。
截止2019年5月根据EDPB公布的GDPR处罚案例数据显示,未有我国涉欧业务被欧盟及其成员国以GDPR的条款为由进行处罚。我国企业在GDPR正式实施前很早进行关注,并对其涉欧业务进行了有效的评估和应对,因此GDPR实施后并未见我国企业处罚信息,但这并不代表我国企业的涉欧业务都符合GDPR规范。欧盟GDPR要求非常宽泛,例如所有非欧盟地区的api调用和数据访问都被禁止,GDPR正式实施后,受隐私法规影响,我国小米生产的Yeelight智能照明暂停欧洲部分服务。
3.2 我国企业应对GDPR情况
2018年5月25日当天,包括微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通(AliExpress)等多家中国互联网巨头,已纷纷向欧洲区用户更新隐私政策、请求重新授权。据了解,海尔、华为等在欧洲有较大市场份额并有意进军物联网的制造业领军者,也早已雇请专门团队应对GDPR。业界普遍认为,GDPR既对行业提出了更高要求和挑战,也使企业间的竞争有法可依,在一定程度上使行业更加规范。
腾讯的反应最为迅速。2018年4月13日,腾讯QQ就向其国际版用户发布通知,QQ将在5月20日起停止向欧洲区用户提供服务。尽管腾讯随即声明会继续保留该服务,但是可以看出,慑于强大的惩罚力度,不少中国企业已经对GDPR有所行动。随后,腾讯官方表示,更新到5.0及以上版本的QQ国际版可继续使用,旧版本则在5月20日停止使用。QQ国际版官网,最新版本是5.0.1。其中隐私政策的更新于2018年5月23日,详细说明所搜集的信息类型、存储和使用方法、信息共享对象、数据处理地点、信息保留时长等内容。显然,这是为符合GDPR的要求做出的修改。
微信也在5月更新了其国际版的隐私条款,条款详细说明了信息的使用规则、存储地点、适用法规等。值得注意的是,微信国际版的隐私政策中对信息的保留时间也有明示:未登录账号时间达到180天后,账号信息会被删除;聊天记录会被存储72小时,随后永久删除。但是,这些改变在国内的微信版本中并没有体现。
阿里云在全球已覆盖18个地区,完成42个可用域。阿里云相关业务人士已从平台、系统、产品、服务、合规、流程、政策等全方面进行改进。按照GDPR的要求,持续进行数据保护与相关服务的整改,相关工作已经准备就绪。
蚂蚁金服一直非常重视数据安全和个人信息保护。2017年,蚂蚁金服率先成立了专门的隐私保护办公室,进一步加强对数据隐私管理体系、规范和能力。
为确保有效地落实隐私保护各项要求,华为公司的“全球网络安全与用户隐私保护委员会”保护官,直接向CEO汇报。华为所有业务单元均设置有专职的隐私相关的角色/组织。同时,根据GDPR的要求,华为还任命了欧盟数据保护官。
小米表示,整个行业都需要全力提升数据安全和隐私保护的意识,加大设计和研发投入,以加速符合GDPR的要求。
2019年6月4日,欧盟数据保护委员会(EDPB)发布了《针对GDPR第42和第43条有关“认证”规定的指南》,直至2020年3月EDPB还未有完成任何一个认证机构、印章和标志的审批信息,英国ICO也未公布任何一个认证方案。但我国企业为将产品打入欧洲市场,还是非常积极开展与隐私相关的ePrivacy安全认证工作,以此表明其产品通过了ePrivacy证明其产品或服务符合GDPR合规要求。
表三 通过ePrivacy认证的国内企业及产品 (来源:www.eprivacy.eu 截止时间2020年3月)
.png)
4 GDPR兼容性认证建议
4.1 我国数据安全立法情况
我国在不同立法领域也制定了数据安全的相关法规。在行政法领域,2017年开始施行的《网络安全法》,延续了2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2013年《电信和互联网用户个人信息保护规定》、2013年《消费者权益保护法》等关于个人信息保护的思路,并将对个人信息保护的作为网络安全的重要组成部分,明确了“个人信息”的概念,规定了个人信息保护原则和网络运营者应承当的法律义务;在民法领域,2017年公布的《民法总则》,首次对隐私权和个人信息采取“二元论”保护模式;在刑法领域,2015年的《刑法修正案九》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,放宽了侵犯公民个人信息罪的主体范围;2017年生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高司法解释”)在《网络安全法》的基础上,进一步扩大了个人信息的定义范围,将反映特定自然人活动情况的各种信息,例如行踪轨迹信息等均纳入到个人信息保护范畴,同时明确了此罪的认定标准和量刑标准。
在国家安全标准领域,2018年5月正式施行的国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》是我国首部系统的个人信息保护规范,也是中国互联网企业对个人信息保护的重要参考指南。该标准在《网络安全法》基本原则的基础上,借鉴了大量GDPR的规则思路,有利于企业在个人信息保护合规方面与国际规则(如GDPR)接轨,《信息安全技术 个人信息安全规范》经过修订后将发布GB/T35273-2020版,并于2020年10月1日实施。
2019年3月市场监管总局、中央网信办联合发文开展移动互联网应用程序(App)安全认证,APP安全认证的认证实施规则遵循是《信息安全技术 个人信息安全规范》的要求,在国家APP专项治理活动下,国内的互联网公司、APP运营机构正积极应对APP的专项治理活动,依据《信息安全技术 个人信息安全规范》对公司的个人信息数据治理工作进行梳理。企业可通过申请APP安全认证,由第三方认证机构为其出具符合性证明。
4.2 《个人信息安全规范》等法规与GDPR差异
.png)
.png)
.png)
.png)
.png)
事件时,企业必须于知悉该事件后的72小时内通知监管部门,除非该事件不大可能给自然人的权利和自由带来风险;倘若在72小时内未能通知监管部门,企业应当于随后通知之时附带说明延迟的理由。通知的内容包括个人数据泄露事件的性质,涉及的用户的类型和数量,泄露的个人数据的类型和数量,个人数据泄露事件可能造成的后果,将会采取的措施。
通知受到实质性影响的用户:当个人数据泄露事件可能影响自然人的权利和自由时,企业应当及时通知相关用户,通知的语言应当清楚、直白。如果数据控制者采取了适当的保护措施,特别是采取的措施能够使得数据难以被一般人所理解,比如加密,或者其后续采取的措施能够使得威胁不会成为实际的结果则无需通知。(第33条)
4.3 GDPR兼容性认证建议
GDPR法案的颁布使我国互联网行业面临着机遇与挑战,也面临更多义务。为更好地开展合规工作,在标准编制和检测认证领域提出如下建议。
一是建议加快我国数据保护相关立法的进程包括《个人信息保护法》和相关配套规范的出台。我国现有的《国家安全法》、《网络安全法》等对数据保护提出了基本要求,但在实施层面不够全面系统,仍需针对性的法律对数据保护的各个环节予以约束和规范。结合对数据安全、个人信息安全相关的治理工作,通过开展类似“App安全认证工作”等认证项目,鼓励我国企业依据相关法律法规和认证标准要求参加自愿性认证,提升企业的数据安全的治理能力,打好扎实基础。
二是根据我国数据保护认证体系及相关法律法规的规划建设情况,结合我国企业涉欧业务的数据保护合规需求,在“电信和电子通信服务”、“健康医疗”、“物联网”、“人工智能”、“大数据服务”、“金融”、“运输”等领域制定对应的数据安全认证标准和技术规范,制定标准同时应在满足国内的法律法规前提下考虑GDPR之间的差异,满足企业数据安全管理在国内和国外的合规需求和认证需求,降低企业的合规建设成本。
三加强与欧盟GDPR数据保护认证管理机构和检测认证机构的交流,GDPR为全球数据安全管理提供了典范,很多理念和做法值得学习和借鉴,加强与欧盟网络与信息安全局(ENISIA)、欧盟数据保护局(EDPB)等的交流对话机制有利于帮助我国企业势识别GDPR合规要求和监管要求。GDPR的运行经验和处罚案例是非常宝贵和学习的数据管理经验,加强与欧洲地区的检测认证机构的交流,有利于学习基于数据安全管理的现金检测认证技术替身给我国检测认证机构的能力,同时通过交流也能不断加强了双方机构的信任,催促在数据安全管理检测认证业务的中欧合作。
5 结语
我国将数据定位为国家的重要战略资源,随着5G时代、物联网时代的来临,数据安全、个人信息安全从国家层面、从企业层面、从个人层面都越发重要,在促进数据相关产业快速发展、利用好数据资源的同时,构建全面的数据安全保障体系是当务之急。欧盟GDPR实施一周年给我们提供了非常宝贵的经验,让我国的监管部门、企业对GDPR的合规要求,对数据安全管理要求,对个人信息安全管理的要求理解更加清晰,为我们相数据产业关的法律法规、产品、技术、服务建设提供了非常好的样例。
当务之急应通过法规条例、标准等手段加强数据安全保护的监管、合规检查和评价,加速推动数据安全保护相关产品、工具、服务和技术等产业的布局和发展,引导和规范我国数据产业发展,降低我国企业国外市场的合规风险和提升竞争优势。
参考文献:
[1]王凤娇 欧盟数据保护认证研究及启示[J]. 产业科技创新,2020,(2):189-190
[2]桂畅旎. 欧盟《通用数据保护法案》的影响与对策 [J].中国信息安全,2017年07期,第90-93页.
[3]何治乐黄道丽.欧盟《一般数据保护条例》的出台背景及影响.信息安全与通信保密,2014年10期,72-75.
[4] 蔡要彩 欧盟GDPR对我国个人数据保护的启示[J];市场周刊;2019年05期
[5]汪雪含;张墨涵;;GDPR对我国个人数据保护制度的启示[J];法制与社会;2019年17期